Огляд інцидентів безпеки Web3 2024 року: аналіз десяти випадків атак
У 2024 році індустрія блокчейн, поряд з технологічними інноваціями та розширенням екосистеми, також стикається з дедалі серйознішими викликами безпеки. Згідно з даними певної платформи моніторингу безпеки, на кінець року загальні збитки в сфері Web3 внаслідок хакерських атак, фішингових шахрайств та втечі проектів досягли 24,91 мільярда доларів.
Ці події не лише виявили технічні недоліки, такі як управління приватними ключами та вразливості смарт-контрактів, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті ми підсумуємо десять найбільших безпекових інцидентів Web3 у 2024 році, сподіваючись отримати уроки з них для покращення безпеки в майбутньому для галузі.
1. Подія DMM Bitcoin
Сума втрат: 304 мільйони доларів США
Спосіб атаки: витік приватного ключа
31 травня 2024 року відбулася значна безпекова аварія на відомій японській криптовалютній біржі DMM Bitcoin. Зловмисники використали витоку приватного ключа для прямого перенесення біткоїнів на суму понад 300 мільйонів доларів, швидко розподіливши вкрадені кошти на більш ніж 10 різних адрес. Ця атака виявила серйозні вразливості біржі в управлінні приватними ключами та багаторівневій системі безпеки.
Незважаючи на те, що біржа намагалась відстежити хакера через моніторинг в мережі та замороження коштів, повернення вкрадених біткойнів стикається з величезними труднощами через те, що вкрадені біткойни швидко розподіляються та очищуються за допомогою міксера. Наприкінці року місцеві правоохоронні органи встановили, що цю атаку здійснила міжнародна хакерська організація.
2. PlayDapp зіткнувся з надмірним випуском токенів
Сума збитків: 290 мільйонів доларів США
Спосіб атаки: витік приватного ключа
9 лютого 2024 року проект PlayDapp зазнав серйозного удару. Хакери, отримавши приватний ключ, незаконно викарбували 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів. Оскільки переговори між командою проекту та хакерами завершилися невдачею, зловмисники в короткий термін додатково викарбували 15,9 мільярда токенів PLA, загальна вартість яких досягла 253,9 мільйона доларів. Після того, як частина токенів потрапила на біржі, PlayDapp змушений був призупинити контракт PLA та перейти на новий контракт токенів. Цей випадок підкреслює недоліки блокчейн-проектів у захисті приватних ключів та реагуванні на надзвичайні ситуації.
3. Деяка індійська біржа зазнала точкової атаки
Сума збитків: 235 мільйонів доларів США
Способи атаки: мережеві атаки та фішинг
18 липня 2024 року великий криптовалютний обмін в Індії став жертвою точного хакерського нападу на свій мультипідписний гаманець. Зловмисники за допомогою соціальної інженерії змусили підписантів мультипідпису затвердити угоду про оновлення контракту, а потім використали права, надані оновленим контрактом, для переведення всіх активів з гаманця. Цей випадок виявив потенційні ризики мультипідписних гаманців у налаштуванні прав та прозорості операцій, а також спровокував глибоке переосмислення внутрішніх механізмів управління ризиками в галузі.
4. Вразливість контракту токена Gala Games
Сума збитків: 216 мільйонів доларів США
Спосіб атаки: вразливість контролю доступу
20 травня 2024 року привілейована адреса Gala Games була зламаною хакерами. Зловмисники викликали функцію mint у токен-контракті, одноразово випустивши 5 мільярдів токенів GALA. Після цього ці незаконно випущені токени були поетапно обміняні на ETH, що безпосередньо призвело до збитків у розмірі 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку для блокування частини рахунків хакерів і через судові засоби повернула частину збитків.
5. Особистий гаманець відомого засновника криптовалюти був вкрадений
Сума збитків: 112 мільйонів доларів США
Метод атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці одного з співзасновників відомого криптовалютного проєкту стали жертвою хакерської атаки, що призвело до викрадення криптовалюти на суму 112 мільйонів доларів. Ці гаманці, ймовірно, стали мішенню атаки через відсутність подвійного захисту з використанням апаратних пристроїв. Після інциденту одна велика біржа успішно заморозила викрадені активи на суму 4,2 мільйона доларів і допомогла відстежити залишкові кошти, але більша частина коштів вже була очищена через децентралізовані біржі та сервіси змішування.
6. Munchables зазнали внутрішнього проникнення
Сума збитків: 6250 мільйонів доларів США
Метод атаки: атака соціальної інженерії
26 березня 2024 року веб3 ігрова платформа Munchables, яка базується на Blast, зазнала рідкісної внутрішньої проникаючої атаки. Зловмисники маскувалися під розробників блокчейну, тривалий час залишаючись у системі, щоб отримати доступ до ядра коду та чутливих ключів. Незважаючи на величезні втрати, під тиском громади та команди хакери врешті-решт повернули всі вкрадені кошти. Ця подія підкреслює важливість безпеки постачальницького ланцюга, особливо для блокчейн-проектів, що залежать від сторонньої розробки.
7. Витік приватного ключа з одного турецького обмінника
Сума збитків: 55 мільйонів доларів США
Спосіб атаки: витік приватного ключа
22 червня 2024 року одна з великих криптовалютних бірж у Туреччині зазнала атаки на витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів криптоактивів. За допомогою однієї міжнародної біржі близько 5,3 мільйона доларів вкрадених коштів було успішно заморожено, але решта активів досі не повернені. Ця подія поглибила занепокоєння ринку щодо здатності централізованих бірж управляти приватними ключами.
8. Мультипідписний гаманець Radiant Capital був зламаний
Сума збитків: 53 мільйони доларів США
Спосіб атаки: витік приватного ключа
17 жовтня 2024 року мульти-підписний гаманець Radiant Capital зазнав хакерської атаки. Через використання нижчого порогу верифікації 3/11 підписів, хакери отримали приватні ключі 3 підписувачів і ініціювали офлайн-підпис, передавши право власності на контракт гаманця на зловмисну адресу, що врешті-решт призвело до крадіжки 53 мільйонів доларів. Ця атака викликала галузеву рефлексію щодо дизайну та механізмів управління мульти-підписними гаманцями.
Варто зазначити, що Radiant Capital раніше втратила 4,5 мільйона доларів через вразливість у контракті, понад 1900 ETH були вкрадені. Це знову підкреслює, що проекти Web3 повинні підвищити рівень уваги до безпеки.
9. Уразливість контракту Hedgey Finance була використана
Сума втрат: 44,7 мільйона доларів США
Спосіб атаки: вразливість контракту
19 квітня 2024 року Hedgey Finance зазнала атаки на кілька смарт-контрактів. Зловмисники використали вразливість схвалення в контракті ClaimCampaigns, успішно витягнувши токени з блокчейнів Ethereum та Arbitrum, загальні збитки склали 44,7 мільйона доларів США. Цей інцидент підкреслює важливість аудиту коду, особливо сувірної перевірки логіки схвалення токенів.
10. Вторгнення в гарячий гаманець певної міжнародної біржі
Сума втрат: 44,7 мільйона доларів США
Спосіб атаки: витік приватного ключа
19 вересня 2024 року міжнародний відомий обмінник зазнав хакерської атаки на свій гарячий гаманець, в якій постраждали такі блокчейни, як Ethereum, BNB Chain, Tron та інші. Хоча обмінник оперативно запустив механізми переміщення активів та замороження виведення, хакерам все ж вдалося вивести активи на суму 44,7 мільйона доларів. Ця атака ще раз підкреслила високий ризик управління гарячими гаманцями централізованими обмінниками, спонукаючи галузь шукати більш безпечні рішення для зберігання активів.
Висновок
Часті випадки безпеки у 2024 році ще раз нагадують нам, що здоровий розвиток блокчейн-індустрії неможливий без забезпечення безпеки. Від управління приватними ключами до вразливостей контрактів, від внутрішнього управління до вдосконалення методів зовнішніх атак — кожен випадок б’є тривогу для індустрії. В умовах дедалі складніших загроз безпеці галузь повинна продовжувати посилювати інвестиції в дослідження та розробки технологій, управлінські норми та управління ризиками. У майбутньому ми сподіваємось, що через співпрацю в галузі та технологічні інновації ми спільно побудуємо більш безпечну та надійну екосистему блокчейн для надання більшої захищеності користувачам та інвесторам.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
15 лайків
Нагородити
15
6
Репост
Поділіться
Прокоментувати
0/400
ETHReserveBank
· 08-08 05:34
25 мільярдів доларів просто зникли?
Переглянути оригіналвідповісти на0
ChainComedian
· 08-08 05:34
Важко, дуже важко! Двадцять п'ять мільярдів просто так зникли.
Переглянути оригіналвідповісти на0
SatoshiChallenger
· 08-08 05:34
Хакер рік у рік, невдахи не знають, коли старіти, жарять до кінця, втрачають усе.
Огляд десяти найбільших інцидентів безпеки Web3: Атаки хакерів у 2024 році призвели до збитків у 2,491 мільярда доларів.
Огляд інцидентів безпеки Web3 2024 року: аналіз десяти випадків атак
У 2024 році індустрія блокчейн, поряд з технологічними інноваціями та розширенням екосистеми, також стикається з дедалі серйознішими викликами безпеки. Згідно з даними певної платформи моніторингу безпеки, на кінець року загальні збитки в сфері Web3 внаслідок хакерських атак, фішингових шахрайств та втечі проектів досягли 24,91 мільярда доларів.
Ці події не лише виявили технічні недоліки, такі як управління приватними ключами та вразливості смарт-контрактів, але й підкреслили потенційні ризики соціальної інженерії та внутрішнього управління. У цій статті ми підсумуємо десять найбільших безпекових інцидентів Web3 у 2024 році, сподіваючись отримати уроки з них для покращення безпеки в майбутньому для галузі.
1. Подія DMM Bitcoin
Сума втрат: 304 мільйони доларів США Спосіб атаки: витік приватного ключа
31 травня 2024 року відбулася значна безпекова аварія на відомій японській криптовалютній біржі DMM Bitcoin. Зловмисники використали витоку приватного ключа для прямого перенесення біткоїнів на суму понад 300 мільйонів доларів, швидко розподіливши вкрадені кошти на більш ніж 10 різних адрес. Ця атака виявила серйозні вразливості біржі в управлінні приватними ключами та багаторівневій системі безпеки.
Незважаючи на те, що біржа намагалась відстежити хакера через моніторинг в мережі та замороження коштів, повернення вкрадених біткойнів стикається з величезними труднощами через те, що вкрадені біткойни швидко розподіляються та очищуються за допомогою міксера. Наприкінці року місцеві правоохоронні органи встановили, що цю атаку здійснила міжнародна хакерська організація.
2. PlayDapp зіткнувся з надмірним випуском токенів
Сума збитків: 290 мільйонів доларів США Спосіб атаки: витік приватного ключа
9 лютого 2024 року проект PlayDapp зазнав серйозного удару. Хакери, отримавши приватний ключ, незаконно викарбували 2 мільярди токенів PLA, початкова вартість яких становила 36,5 мільйона доларів. Оскільки переговори між командою проекту та хакерами завершилися невдачею, зловмисники в короткий термін додатково викарбували 15,9 мільярда токенів PLA, загальна вартість яких досягла 253,9 мільйона доларів. Після того, як частина токенів потрапила на біржі, PlayDapp змушений був призупинити контракт PLA та перейти на новий контракт токенів. Цей випадок підкреслює недоліки блокчейн-проектів у захисті приватних ключів та реагуванні на надзвичайні ситуації.
3. Деяка індійська біржа зазнала точкової атаки
Сума збитків: 235 мільйонів доларів США Способи атаки: мережеві атаки та фішинг
18 липня 2024 року великий криптовалютний обмін в Індії став жертвою точного хакерського нападу на свій мультипідписний гаманець. Зловмисники за допомогою соціальної інженерії змусили підписантів мультипідпису затвердити угоду про оновлення контракту, а потім використали права, надані оновленим контрактом, для переведення всіх активів з гаманця. Цей випадок виявив потенційні ризики мультипідписних гаманців у налаштуванні прав та прозорості операцій, а також спровокував глибоке переосмислення внутрішніх механізмів управління ризиками в галузі.
4. Вразливість контракту токена Gala Games
Сума збитків: 216 мільйонів доларів США Спосіб атаки: вразливість контролю доступу
20 травня 2024 року привілейована адреса Gala Games була зламаною хакерами. Зловмисники викликали функцію mint у токен-контракті, одноразово випустивши 5 мільярдів токенів GALA. Після цього ці незаконно випущені токени були поетапно обміняні на ETH, що безпосередньо призвело до збитків у розмірі 216 мільйонів доларів. Команда Gala Games терміново активувала функцію чорного списку для блокування частини рахунків хакерів і через судові засоби повернула частину збитків.
5. Особистий гаманець відомого засновника криптовалюти був вкрадений
Сума збитків: 112 мільйонів доларів США Метод атаки: витік приватного ключа
31 січня 2024 року чотири особисті гаманці одного з співзасновників відомого криптовалютного проєкту стали жертвою хакерської атаки, що призвело до викрадення криптовалюти на суму 112 мільйонів доларів. Ці гаманці, ймовірно, стали мішенню атаки через відсутність подвійного захисту з використанням апаратних пристроїв. Після інциденту одна велика біржа успішно заморозила викрадені активи на суму 4,2 мільйона доларів і допомогла відстежити залишкові кошти, але більша частина коштів вже була очищена через децентралізовані біржі та сервіси змішування.
6. Munchables зазнали внутрішнього проникнення
Сума збитків: 6250 мільйонів доларів США Метод атаки: атака соціальної інженерії
26 березня 2024 року веб3 ігрова платформа Munchables, яка базується на Blast, зазнала рідкісної внутрішньої проникаючої атаки. Зловмисники маскувалися під розробників блокчейну, тривалий час залишаючись у системі, щоб отримати доступ до ядра коду та чутливих ключів. Незважаючи на величезні втрати, під тиском громади та команди хакери врешті-решт повернули всі вкрадені кошти. Ця подія підкреслює важливість безпеки постачальницького ланцюга, особливо для блокчейн-проектів, що залежать від сторонньої розробки.
7. Витік приватного ключа з одного турецького обмінника
Сума збитків: 55 мільйонів доларів США Спосіб атаки: витік приватного ключа
22 червня 2024 року одна з великих криптовалютних бірж у Туреччині зазнала атаки на витік приватних ключів, внаслідок чого було втрачено понад 55 мільйонів доларів криптоактивів. За допомогою однієї міжнародної біржі близько 5,3 мільйона доларів вкрадених коштів було успішно заморожено, але решта активів досі не повернені. Ця подія поглибила занепокоєння ринку щодо здатності централізованих бірж управляти приватними ключами.
8. Мультипідписний гаманець Radiant Capital був зламаний
Сума збитків: 53 мільйони доларів США Спосіб атаки: витік приватного ключа
17 жовтня 2024 року мульти-підписний гаманець Radiant Capital зазнав хакерської атаки. Через використання нижчого порогу верифікації 3/11 підписів, хакери отримали приватні ключі 3 підписувачів і ініціювали офлайн-підпис, передавши право власності на контракт гаманця на зловмисну адресу, що врешті-решт призвело до крадіжки 53 мільйонів доларів. Ця атака викликала галузеву рефлексію щодо дизайну та механізмів управління мульти-підписними гаманцями.
Варто зазначити, що Radiant Capital раніше втратила 4,5 мільйона доларів через вразливість у контракті, понад 1900 ETH були вкрадені. Це знову підкреслює, що проекти Web3 повинні підвищити рівень уваги до безпеки.
9. Уразливість контракту Hedgey Finance була використана
Сума втрат: 44,7 мільйона доларів США Спосіб атаки: вразливість контракту
19 квітня 2024 року Hedgey Finance зазнала атаки на кілька смарт-контрактів. Зловмисники використали вразливість схвалення в контракті ClaimCampaigns, успішно витягнувши токени з блокчейнів Ethereum та Arbitrum, загальні збитки склали 44,7 мільйона доларів США. Цей інцидент підкреслює важливість аудиту коду, особливо сувірної перевірки логіки схвалення токенів.
10. Вторгнення в гарячий гаманець певної міжнародної біржі
Сума втрат: 44,7 мільйона доларів США Спосіб атаки: витік приватного ключа
19 вересня 2024 року міжнародний відомий обмінник зазнав хакерської атаки на свій гарячий гаманець, в якій постраждали такі блокчейни, як Ethereum, BNB Chain, Tron та інші. Хоча обмінник оперативно запустив механізми переміщення активів та замороження виведення, хакерам все ж вдалося вивести активи на суму 44,7 мільйона доларів. Ця атака ще раз підкреслила високий ризик управління гарячими гаманцями централізованими обмінниками, спонукаючи галузь шукати більш безпечні рішення для зберігання активів.
Висновок
Часті випадки безпеки у 2024 році ще раз нагадують нам, що здоровий розвиток блокчейн-індустрії неможливий без забезпечення безпеки. Від управління приватними ключами до вразливостей контрактів, від внутрішнього управління до вдосконалення методів зовнішніх атак — кожен випадок б’є тривогу для індустрії. В умовах дедалі складніших загроз безпеці галузь повинна продовжувати посилювати інвестиції в дослідження та розробки технологій, управлінські норми та управління ризиками. У майбутньому ми сподіваємось, що через співпрацю в галузі та технологічні інновації ми спільно побудуємо більш безпечну та надійну екосистему блокчейн для надання більшої захищеності користувачам та інвесторам.